SREng入门教程
SREng入门教程
我不太喜欢加一些耸人听闻的标题,但是SREng(System Repair Engineer)绝对担当的起这些震憾性的标题,SREng由KZTechs.COM的站长编写的系统信息分析工具.本人水平有限,在这里简单介绍一下SREng的基本使用,希望大家能够尽快熟悉这把绝世好剑.
一直以来,最好的清除恶意软件的程序,不是杀毒软件,而是和SREng同类型的分析型工具.他们几乎把系统的所有可疑物全部列在我们的面前,由我们来做最后的甄别.当然了,这又是对技术的一项要求,但是,SREng是现有的工具中操作最简单,智能识别能力最好的软件,只要你够细心,一定能够发现恶意程序在系统中的蛛丝马迹.
-----------------原作者简介--------------------
附原作者简介
什么是 System Repair Engineer?
System Repair Engineer (SREng) 是一款计算机安全辅助和系统维护辅助软件。主要用于发现、发掘潜在的系统故障和大多数由于计算机病毒造成的破坏,并提供一系列的修改建议和自动修复方法。 该软件是由 KZTechs.COM 网站站长 Smallfrogs 开发的,能够运行在所有主流的 Windows 操作系统上。
在 System Repair Engineer (SREng) 的帮助下,您可以自己诊断您操作系统可能存在的普遍性问题,即使您是计算机的初学者,您也可以使用 System Repair Engineer (SREng)  的智能扫描功能将您系统的概况生成一份简要的日志,然后将该日志传送给对操作系统熟悉的朋友或网友,在他们的帮助下解决您系统可能存在的问题。
-------------------原作者简介结束--------------------
废话少说,开始.
打开SREng,该软件为绿,免费软件,软件下载地址:
www.kztechs/sreng/download.html
软件主界面(图0)[attach]452038[/attach]
软件打开之后,就立刻开始检查被修改的系统函数,如图1.[attach]452039[/attach]
点击查看详情,会弹出对话框,可以在这里查看所有被被修改的函数.(图3)[attach]452040[/attach]
这幅例图我使用作者提供的被灰鸽子修改了入口的报警图,这样更明显一些,修复了例图中的入口点之后,在服务里就能看到原来隐藏的灰鸽子服务端.OMG,太强悍了.
请大家务必仔细阅读这篇帮助,但请注意不是所有的修改都是恶意的,系统优化软件等等都可能造成系统入口函数改变.如超级兔子就会根据优化内容修改.
--------小知识:什么是API HOOK-----------
原文地址www.kztechs/sreng/help2/apihook.htm
这里我简单总结一下,API就像一个组件库,程序员可以通过自己的核心代码+API这种组件的方式来轻松完成需要更多自主代码才能完成的程序功能,API是Windows系统特有的技术,属于正常的系统文件.而APIHOOK就是一种用于改变API函数结果的技术.说到这里,大家也就
明白这个东西为什么这么重要了,修改系统,这不就是恶意软件的最终目的吗?
----------小知识结束------------------------------
继续,SREng的主菜单非常简单,一个是工具,一个是帮助.
工具菜单下只有一个检查新版本是需要我们经常检查的.选项可以保持默认.发稿时我使用的是2.4.12.806版本.如果你有兴趣,可以向作者索取2.5.13.896的测试版.
穿越火线进不去左侧的第一个工具按钮关于SREng,其实就是一个简单的介绍文件,过.
启动项目,系统修复,智能扫描这三个是软件的核心功能,我们一个一个看.
一. 点击启动项目,图4[attach]452041[/attach]
在这里,我们能够看到几乎所有的启动项,第一个显示的就是注册表标签,最常见的病毒和木马启动隐藏项.ok,不需要的删除吧,不要再抱怨你的机器启动速度过慢了.如果出现红标记的文件,后面却没有明确的文件,就需要注意一下了,我的意见很简单,可以把它们删掉,实际上,启动项里全空也不影响系统启动,只不过开机之后,需要再打开常用程序,稍为麻烦点而已.
ok,其它几个标签也是一样检查,中间六个标签病毒和木马用的比较少,因为现在的木马技术更高级了,驱动级和服务级变的越来越常用,这就需要我们关注最后一个标签,服务.
服务项包含了两个选项,一个是Win32服务应用程序,一个是驱动程序.
1.Win32服务应用程序,这里就是我们常说的系统服务,木马和恶意软件最喜欢的地方.启动之后,列出了长长的一串,有点晕是吧,没有关系.看到选项"隐藏已认证的微软项目"了吗?OK,选上,嚯嚯.是不是少了很多.已经经过验证的正常服务被隐藏了,现在剩下的全部是第三方程序注册的服务了.检查一下可疑的吧.(图5)[attach]452042[/attach]
2.驱动程序的使用方法相同,也是勾选上"隐藏已认证的微软项目"之后再检查男人必看十大经典电影
二.系统修复
这一部分相对来说就简单多了.
1.文件关联.如果被病毒破坏了文件关联,可以在状态列看到被打上勾的格式,检查确系被破坏的,可以直接点修复完成.
2.Windows Shell /IE这一部分是调整注册表来完成系统设置,是不是很像系统优化软件的东东,哈哈.这些设置在超级兔子,Windows优化大师,WinXP总管里都能见到,愿意用哪个调随你的喜好了.
3.浏览器加载项,就是我们俗称的浏览器插件.这里需要注意一下,SREng只检查IE浏览器,如果你安装了第三方独立内核的浏览器,在这里是检查不出来的.OK,不需要的,喀嚓掉吧.
描述栏里描述了该加载项的类型.可以点击窗口下方的帮助来具体查看是何种加载项
十三刀PS:推荐一下,除了杀毒软件内置的插件和一到两个下载插件之外,就不要再多装了,严重影响IE的反应速度
PS的PS:我们常说的恶意插件,几乎都
会在这里留下它们可爱的足迹,所以,检查的时候,务必要仔细.
4.HOSTS,这个文件自从9X以来就存在了,用途:浏览器首选在HOSTS中寻网址对应的IP,然后是临时文件夹,最后再上网寻DNS解析,更详细的流程可以查阅相关资料.HOSTS文件也是屏蔽我们恶心的网站的一个好方法,只要把你不想去的网站IP加为127.0.0.1,浏览器就永远认不出某个网址了.(图6)[attach]452043[/attach]
添加格式,点新建.IP地址写127.0.0.1,主机名字写需要屏蔽的网址,确定即可.(图HOSTS)[attach]452044[/attach]
如果你喜欢的网址IP固定,也可以在这里添加,这样,网址不会由DNS解析,速度会加快.
5.WinSock提供者.
--------小知识:什么是WinSock-------
winsock是用来网络传输的控件,可进行Tcp/ip和udp协议,但帮定端口的形式不一样,winsock可传输字符串和字节,但字节更安全准确,网络传输时,客户端和服务器端,tcp协议,帮定形式不同,Udp基本一样,确定连接时connectionRequest事件,接收数据 dataArray事件
华蕊---------小知识结束----------------
还是总结一下,winsock是用来进行网络编程的一个东东.弄不清楚的话,就关注一下发行商吧,除了微软的,其它要注意一下.
6.高级修复,这是前面几项的一个综合,一般只要使用推荐修复级别就可以了
什么言什么什么三.智能扫描
这个部分可以智能扫描出前面定义出问题的部分,根据情况进行选择,最后会扫描出一份详细的报告.扫描出的报告可以另存为文件文档,方便传送给维护人员进行分析.图7
[attach]452045[/attach]
扩展部分:
作者提供了外接口,可以编写自己的插件,现在可用的插件并不多,如果不放心的话,就不要安装了,只要把文件夹下的Plugins下的相关插件删除就可以了.
写的比较啰嗦,不好意思.
在打开的时候,SREng会访问网络(a001.woowoo),被我的卡巴拦截了,实际这是个升级地址信息获取的网址.如果不放心的话,可以屏蔽,不影响使用.
HijackThis也是同类型的工具,但其针对性过强,(只对IE),而且对于DLL劫持等新型技术显的无能为力,这也让我现在越来少的使用它.期待HijackThis的下一个版本吧.
SREng现在已经被病毒盯上了,如果你的SREng已经损坏,那么下载一个新的,如果还是打不开,恭喜你,十有八九你已经中招了.因为它是绿软件,不会因为系统注册表损坏等等系统问题而崩溃
再说句题外话,个人意见,除了你自己编写的程序之外,你永远不知道程序员在程序之内放置了什么代码,尽管他们赌咒发誓,呵呵.软件的技术含量之高,远超我们的相像,这也是我推崇开源的一个主要原因,但是程序员也是要吃饭的,难难难.
SREng入门教程二--实战智能分析报告
上一篇教程中我给大家简单介绍了一下SREng的使
用方法,用过之后有什么感觉,是不是强悍+方便,呵呵.但是这个软件或多或少的增加了一些专业性的内容,对大家来说,可能产生迷惑的地方不少.所以,我的第二篇教程来实战一份SREng报告的分析,这里,我着重讲解一下如何分析系统中的可疑项目.
请大家注意,我使用的是我的电脑的智能分析的报告,为了讲解方便,我抽出比较有代表性的内容,其它正常的无关项我删除了,但是在真正分析的时候,请不要漏掉任何项目.
见图1[attach]452418[/attach]
前面都没有问题吧,如果连序的部分都看不明白,我就没有法子了.
从启动项目部分开始
一.启动项目注册表
1.[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
&><C:\WINDOWS\>  [(Verified)Microsoft Windows Publisher]
其中
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]行表示该自启动程序在注册表中的位置.
&>表示自启动程序的文件名.
<C:\WINDOWS\>表示这个程序在系统中的位置.
最后表示发行公司,不需要关注了.
现在如果我不知道这是个什么程序,该怎么办,注意了,不要忘记搜索引擎,搜索引擎将一个全球性的数据库放在你的面前,如果你不能从中获得需要的信息,那就是坐看宝山而不知了.
搜索的时候,主要搜索<ctfmon>,也就是双尖括号中的内容.
以Google为例,这里的搜索关键词可以为"什么是","","ctfmon","作用",双引号内为关键词示例.
如果你还想进一步了解Google,请到提问区看置顶精华,那里有一篇如何使用Google的文章.
www.chinadforce/viewt ... 4781&extra=page%3D1
不要再问什么是Google,也不要再问如何使用Google,难道提问者,你不觉得问已经摆在眼前的资料很没有意思吗?
--------------------------------------------------什么是ctfmon-----------------------------------------------
进程文件:  ctfmon
进程名称: Alternative User Input Services
描述: 控制Alternative User Input Text Processor (TIP)和Microsoft Office语言条。提供语音识别、手写识别、键盘、翻译和其它用户输入技术的支持。
---------------------------------------------------ctfmon结束------------------------------------------------
这部分请大家仔细看,后面的格式大致相同.
同样,后面的就比较简单了,第二行的注册表键值下面是空的
<load><>[N/A]
<run><>[N/A]
第三行包括了程序卡巴斯基,QQ和BDCII(我用的一款闹钟程序),请大家在安装的时候,知道自己装的是什么东西,需要的请经常使用,不需要的请删掉,不然的话,你会在这里看到非常多的垃圾内容,卸载的时候,也请使用正规的卸载程序,否则,这里包括下
面会产生很多垃圾文件,而且,你根本想不起来他们是做什么的了,切记,切记.
第四行包括了三个程序,实际上他们是系统进程,
<shell>&>//没什么好说的
<Userinit><C:\WINDOWS\>// UserInit程序运行登陆脚本,建立网络连接和启动Shell壳
<UIHost>&>// 是一个系统进程,用于显示微软Windows XP系统用户切换界面,美化软件有时候会修改这个文件.
充电桩企业ok,第一部分分析完了,对照一下看看你自己的日志,是不是清晰多了,还是那句话,多使用Google,如果搜索不到,或者文件位置有误,你就需要多多注意了.
图2启动文件夹和服务[attach]452419[/attach]
二.启动文件夹,这里是空
它实际就是我们的开始--程序--启动,如果这里是空的话,你的日志也一定是空.反而在这里的程序是最安全的.木马和病毒早就已经放弃了这里.
三.服务
服务是一种在后台运行的应用程序类型,它与 UNIX 后台应用程序类似。服务应用程序通常可以在本地和通过网络为用户提供一些功能,例如客户端/服务器应用程序、Web 服务器、数据库服务器以及其他基于服务器的应用程序。
服务是病毒和木马很喜欢插手的地方,也可以有相关技术进行隐藏,但只要隐藏,一定会破坏入口函数,像灰鸽子之类的.修复入口点之后,仔细检查吧.
根据第一部分的格式,我们很容易就看到这里有三项未经验证的服务
其中,AVG是我安装的反木马软件,什么,你不知道什么是AVG,你真的不知道,确实不知道,果然不知道.........
卡巴斯基,地球人都知道
[Remote Packet Capture Protocol v.0 (experimental) / rpcapd]
这个很容易让人眼晕,看格式,非常正规,有版本号,有全称,但就是不知道是什么,这个时候怎么办,可以看一下源文件,一般来说,源文件和源安装路径,更容易让你想起点什么.
<"C:\Program Files\" -d -f "C:\Program Files\WinPcap\rpcapd.ini">
想起来了,这个是Winpcap安装的服务.ok,正常的.
----------------------------------------------------什么是Winpcap-------------------------------------------
WinPcap是用于网络封包抓取的一套工具,可适用于32位的操作平台上解析网络封包,包含了核心的封包过滤,一个底层动态链接库,和一个高层系统函数库,及可用来直接存取封包的应用程序界面。
-----------------------------------------------------Winpcap结束---------------------------------------------
老规矩,总结一下,这个是一个抓包工具,就是把经过安装其软件的计算机的信息包留存下来的工具.可以附加在其它软件上,是我安装一款影音嗅探器的时候一起安装的.
最后一个是我安装的虚拟机,VMware是个老牌的虚拟机软件了.没什么好说的.
四.驱

版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。